Certified Data Protection Officer (DPO): Functionaris gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG), beter gekend als GDPR (General Data Protection Regulation) ging in mei 2018 juridisch van kracht. Deze geactualiseerde privacy spelregels hebben tot doel natuurlijke personen de controle over hun persoonsgegevens terug te geven.

Elk bedrijf, openbare bestuur of social profit organisatie is gehouden deze regelgeving na te leven, om aldus de nodige maatregelen te nemen in regel met de richtlijnen van de Belgische wetgeving. Vervolgens wordt het naleven van deze wetgeving gecontroleerd door de gegevensbeschermingsautoriteit (GBA) die gemachtigd is om - bij het niet naleven ervan - de nodige scanties aan bedrijven of organisaties op te leggen.

Om deze GDPR wetgeving correct toe te passen, investeren bedrijven en organisaties dan ook meer en meer om iemand binnen de organisatie op te leiden tot 'Certified DPO (GDPR)' of 'Gecertificeerde functionaris gegevensbescherming'.

Na het volgen van deze praktijkgerichte opleiding en het succesvol afleggen van het examen (laatste sessie/lesdag), beschikt de deelnemer over voldoende theoretische en praktijkgerichte kennis om te starten als DPO!

Nagenoeg elk bedrijf - gaande van KMO’s tot grotere bedrijven maar ook overheden (federaal, Vlaams en lokaal) - verzamelen persoonsgegevens over hun 'klanten', hun potentiële prospecten of betrokken burgers om bijvoorbeeld betere inzichten te krijgen in de huidige of toekomstige behoeften. Om deze persoonsgegevens volgens de geldende GDPR-wetgeving correct te verzamelen en te verwerken, is (bijna) elk bedrijf, KMO of organisatie verplicht een 'DPO' of 'Functionaris gegevensbescherming' aan te stellen. Om deze job als Data Protection Officer (DPO) met kennis van zaken te kunnen vervullen, is een gedegen basisopleiding noodzakelijk om zo een afdoende basiskennis aan GDPR inzichten op te bouwen. Op basis van onze jarenlange ervaring in het domein van privacy en GDPR-wetgeving is deze opleiding opgebouwd volgens de richtlijnen van de gegevensbeschermingsautoriteit (GBA), waarin beschreven staat waaraan een opleiding 'DPO' inhoudelijk dient te voldoen.

De docenten geven een geactualiseerde opleiding op een zeer praktijkgerichte manier én op basis van diverse praktijkvoorbeelden. Dit maakt het begrippenkader, toepassingsdomein en de "GDPR-regels”, vanuit het wetgevend kader, op een begrijpbare en tastbare wijze duidelijk. U hoeft dus geen jurist of IT-er te zijn om deze opleiding met succes te kunnen volgen. U krijgt een duidelijk inzicht wat de rol van een DPO binnen een bedrijf of organisatie inhoudt, en welke mandaat hierbij hoort en hoe deze rol als DPO best wordt ingevult. U krijgt een objectief inzicht in de toepassingsdomein van de belangrijkste beschikbare tools en in de noden mbt de algemene informatieveiligheid.

• Elke professional(*) die via het certificaat ‘Certified DPO’ de benodigde kennis moet aantonen om de functie van DPO uit te oefenen,
• Elke professional(*) die raakvlakken heeft met GDPR wetgeving zoals:
  • Rsk managers, security managers
  • Juristen, juridische adviseurs,
  • CISO of verantwoordelijke voor de informatieveiligheid,
  • IT managers, andere managers,
  • Security verantwoordelijke, IT veiligheidsspecialisten
• Informatiebeheerders en afdelingshoofden binnen bedrijven of openbare besturen,
• Aspirant Data Protection Officer (DPO)

(*) Professionals/managers die een beleidsfunctie (binnen hun bedrijf) hebben kunnen mogelijks geconfronteerd worden met een belangenconflict indien zij wensen op te treden als DPO (binnen hun bedrijf).

Geen specifieke voorkennis vereist.

Vanuit praktijkvoorbeelden omtrent de belangrijkste informatiestromen met daarin specifieke persoonsgegevens, wordt de opleiding opgebouwd. Door deze praktijkgerichte aanpak krijgen de deelnemers stap voor stap de nodige inzichten vanuit de meer theoretisch georiënteerde kader (wetgeving) naar een praktische toepasbaarheid van deze materie.

Module 1: Het wetgevend kader

In deze module wordt het algemeen wetgevend kader inzake gegevensbescherming behandeld, waardoor u inzicht en kennis krijgt van het toepassingsgebied, de essentiële pijlers, de verplichtingen en rechten van alle actoren in de AVG.

Wetgevend kader gegevensbescherming

• Inleiding
• AVG
• Wet van 03.12.2017 tot oprichting van de GBA
• Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
• Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer

Begrippen en toepassingsgebied

• Basisbegrippen
• Personeel, materieel, territoriaal en temporeel toepassingsgebied
• Uitzonderingen toepassingsgebied

Toelaatbaarheid en beginselen

• Verwerkingsgronden en doeleinden
• Verantwoordelijkheidsbeginsel
• Doelbinding
• Privacy by Default + Privacy by Design
• Juistheid
• Opslagbeperking
• Integriteit

Rechten van betrokkene

• Rechten
• Procedure

Verplichtingen van de verwerkingsverantwoordelijke

Verplichtingen van de verwerker

Module 2: Wetgevend kader praktisch toegepast, handhaving en rechtspraak AVG

In deze module wordt stilgestaan bij de doorgifte van persoonsgegevens en de handhavingsregels van de AVG, dit zowel op Europees als nationaal niveau.

Doorgifte van persoonsgegevens

• Algemene regel
• International
• Derde landen

One stop shop mechanisme

• Bevoegdheid toezichthoudende autoriteit

Aansprakelijkheid onder AVG

Toezicht en sancties

• Administratief
• Strafrechtelijk
• Burgerlijk

Rechtspraak GBA en Marktenhof

Module 3: De DPO in de praktijk

Tijdens deze module wordt stilgestaan bij de kernconcepten van de AVG en hoe deze geïmplementeerd kunnen worden in de praktijk.  

Omzetten van de praktijk:

• Register verwerkersactiviteiten – voorbeeld(en)
  • Rekening houden met hoedanigheid
    • Verwerker
    • verwerkingsverantwoordelijke
  • Bepalen eigen hoedanigheid – checklist indicatoren
• Rol en verantwoordelijkheden van de DPO (oa. Artikel 29 Working Party)

• Rechten betrokkenen faciliteren
• Register aanvragen
• Rechten vs. grondslag verwerking
• Analyse verwerkersovereenkomsten – checklist
• DPIA – Voorbeeld
• Privacy by design voorbeeld en  “privacyontwerpstrategieën”
• Inbreuk van persoonsgegevens
• Projecten toetsen aan de GDPR

• Basisprincipes aftoetsen bij het advies (toolbox – GBA)
• Informatieveiligheidsbeleid
  • Privacy policies opstellen
  • Intern & extern privacy beleid
  • …

Module 4: Informatieveiligheid als onderdeel van gegevensbescherming

In deze module krijgt u een algemeen overzicht van beveiligingsrisico’s, beveiligingsmethodieken en een plan van aanpak om de verwerking van persoonsgegevens te beveiligen.

• Wat is informatieveiligheid?
• Beveiliging van gegevensverwerking volgens de GDPR, risicoanalyses,
• Huidige cyberdreigingen, cijfers omtrent datalekken en enkele concrete voorbeelden,
• Het vakjargon binnen de informatieveiligheid:
• Identificatie, authenticatie en autorisatie (inclusief meerfactorauthenticatie (MFA))
• Anonimisering, pseudonimisering, versleuteling en quantum computing
• Beschermingsmaatregelen op technisch vlak,
• Beschermingsmaatregelen op organisatorisch vlak,
• Security audits: kwestbaarheden en pentesting
• Security awareness voor eindgebruikers

• Maturiteitsmeting
• Social engineering, phishing, privacy op de werkplek
• Management Systeem voor informatiebeveiliging (ISMS) en privacy informatie: ISO27001&2
• Beheer van Incidenten en inbreuken persoonsgegevens

Module 5: Herhaling op basis van een aantal casussen en Certified DPO examen

In deze laatste module komen enkele hulpmiddelen, tools aan bod om uw taak als DPO efficiënt te vervullen. Vervolgens wordt er - bij wijze van herhaling - aandacht besteed aan een aantal casussen en is er vervolgens voldoende tijd voorzien om nog vragen te stellen. Tot slot legt u het examen “Certified DPO – Functionaris gegevensbescherming” af.

Herhaling

“Het gevoel” Privacy VERSUS “strickte Privacy":

• Trends  
• Privacy als sociaal concept – strikte interpretatie art. 8 EVRM

Enkele cases:

• Case 1:  De rol van een DPO:
  • “onafhankelijk rol van de DPO binnen het bedrijf”
  • Aansprakelijkheid van een DPO
• Case 2:  Kritische evaluatie mogelijke tools

Forum deelnemers: Q&A

Het Certified DPO examen:

• Toelichting examen
• Afname examen

Personeel opleiden rond cybersecurity? Sinds kort kan u voor cybersecurity trajecten beroep doen op verhoogde steun met de KMO-portefeuille. U krijgt als kleine of middelgrote onderneming een hoger steunpercentage voor het inkopen van advies en opleiding rond cybersecurity.